- トラブル事例
- https://togetter.com/li/1382734
- https://togetter.com/li/1375608
- 多要素認証
- パスワードリスト攻撃
- 「どうやらOpenID ConnectとOAuth2.0周りの実装でヘマやってた臭い」
- 「ライブラリがいい感じにやってる」?本当に?
- インクリメンタルな開発はリスクがある
- 選定できるリテラシーが必要
- 認証, Authentication, AuthN: 誰か
- 認可, Authorization, AuthZ: 何をしていいか
- https://dev.classmethod.jp/security/authentication-and-authorization/
- 例: セキュリティカード
- 登場人物: ユーザ、クライアント、サーバ
- https://qiita.com/hththt/items/07136ad74127999df271
- set-cookieしてみよう
- なんでもいいからset-cookieしてみる
- https://golang.org/pkg/net/http/#SetCookie
- https://golang.org/pkg/net/http/#Cookie
- https://pod.hatenablog.com/entry/2019/01/26/150921
- curl -v -c .cookiejar localhost:1991/cookie
- cookieを送ってみよう
- curl -v -b .cookiejar localhost:1991/cookie
- セッション
- ID, Password 認証
- hash, salt, streatch
- トラブル
- 生パスワード問題
- ログに出ちゃう問題
- パスワードリスト攻撃
- CSRF
treasure appを読んでみよう
- developer tool
- idTokenの中身をみてみる
- 手動で
- 署名を検証
- refresh token
- request header
- validation
- 署名
- 内容
- 攻撃してみる
- 別のアプリのtokenを乗せる
- OpenID Connect http://openid-foundation-japan.github.io/openid-connect-core-1_0.ja.html
- OAuth2.0 http://openid-foundation-japan.github.io/rfc6749.ja.html
- Bearer Token http://openid-foundation-japan.github.io/rfc6750.ja.html
- インクリメンタルな開発はリスクがある
- 選定できるリテラシーが必要
- (あとなんか言いたいことあった気がする)